国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

一、故障原因及現(xiàn)象
　　局域網(wǎng)內(nèi)（指某一網(wǎng)段，比如：10.210.123這一段）有電腦使用ARP欺騙程序（比如：傳奇、QQ盜號的軟件等）發(fā)送ARP數(shù)據(jù)包，致使被攻擊的該網(wǎng)段內(nèi)的電腦不能上網(wǎng),如果是非該網(wǎng)段電腦也不能上網(wǎng)，那么另外的網(wǎng)段中可能也有部分電腦中了ARP病毒。
　　當局域網(wǎng)內(nèi)某臺電腦A向電腦B發(fā)送ARP欺騙數(shù)據(jù)包時，會欺騙電腦B將其通信的數(shù)據(jù)發(fā)向電腦A，電腦A通過對截獲的數(shù)據(jù)進行分析，達到竊取數(shù)據(jù)（如用戶賬號）的目的。
　　被ARP欺騙的電腦會出現(xiàn)突然不能上網(wǎng)，過一段時間又能上網(wǎng)，反復(fù)掉線的現(xiàn)象。
　　
　　二、故障診斷
　　如果用戶發(fā)現(xiàn)突然不能上網(wǎng)，可以通過如下操作進行診斷：
　　點擊"開始"按鈕->選擇"運行"->輸入”cmd” (進入命令行界面)->再輸入"arp -d"->點擊"確定"按鈕，然后重新嘗試上網(wǎng)，如果能恢復(fù)正常，則說明此次掉線可能是受ARP欺騙所致。
　　"arp -d"命令能清除本機的arp表，arp表被清除后接著系統(tǒng)會自動重建新的arp表，"arp -d"命令并不能抵御ARP欺騙，執(zhí)行"arp -d"命令后仍有可能再次遭受ARP攻擊。

　　三、故障處理
　?。? 使用AntiArp軟件抵御ARP攻擊。
　　點擊這里下載AntiArp軟件
　　運行AntiArp，輸入本網(wǎng)段的網(wǎng)關(guān)ip地址后，點擊"獲取網(wǎng)關(guān)MAC地址"，檢查網(wǎng)關(guān)IP地址和MAC地址無誤后，點擊"自動保護"。
　　若不知道網(wǎng)關(guān)IP地址，可通過以下操作獲?。狐c擊"開始"按鈕->選擇"運行"->輸入"cmd"點擊"確定"->輸入"ipconfig"按回車，"Default Gateway"后的IP地址就是網(wǎng)關(guān)地址。
　　AntiArp軟件會在提示框內(nèi)出現(xiàn)病毒主機的MAC地址。

中了ARP病毒解決方法與相關(guān)工具

最近網(wǎng)吧與企業(yè)流行著ARP病毒，導(dǎo)致了網(wǎng)絡(luò)時斷時好，解決ARP攻擊的方法：

　 【故障原因】　

　　局域網(wǎng)內(nèi)有人使用ARP欺騙的木馬程序（比如：傳奇盜號的軟件，某些傳奇外掛中也被惡意加載了此程序）。　

　　【故障原理】　

　　要了解故障原理，我們先來了解一下ARP協(xié)議?！?

　　在局域網(wǎng)中，通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的。ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。　

　　ARP協(xié)議是“Address ResolutionProtocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫?，幀里面是有目標主機的MAC地址的。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設(shè)備的IP地址，查詢目標設(shè)備的MAC地址，以保證通信的順利進行。　

　　每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，如下表所示?！　　?

　　主機 IP地址 MAC地址　

　　A 192.168.16.1 aa-aa-aa-aa-aa-aa　

　　B 192.168.16.2 bb-bb-bb-bb-bb-bb　

　　C 192.168.16.3 cc-cc-cc-cc-cc-cc　

　　D 192.168.16.4 dd-dd-dd-dd-dd-dd　　　

　　我們以主機A（192.168.16.1）向主機B（192.168.16.2）發(fā)送數(shù)據(jù)為例。當發(fā)送數(shù)據(jù)時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應(yīng)的IP地址，主機A就會在網(wǎng)絡(luò)上發(fā)送一個廣播，目標MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問：“192.168.16.2的MAC地址是什么？”網(wǎng)絡(luò)上其他主機并不響應(yīng)ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應(yīng)：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發(fā)送信息了。同時它還更新了自己的ARP緩存表，下次再向主機B發(fā)送信息時，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機制，在一段時間內(nèi)如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。　

　　從上面可以看出，ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人，那么就很容易實現(xiàn)在以太網(wǎng)上的ARP欺騙。對目標A進行欺騙，A去Ping主機C卻發(fā)送到了DD-DD-DD-DD-DD-DD這個地址上。如果進行欺騙的時候，把C的MAC地址騙為DD-DD-DD-DD-DD-DD，于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了。這不正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么，嗅探成功?！?

　　A對這個變化一點都沒有意識到，但是接下來的事情就讓A產(chǎn)生了懷疑。因為A和C連接不上了。D對接收到A發(fā)送給C的數(shù)據(jù)包可沒有轉(zhuǎn)交給C?！?

　　做“man in the middle”，進行ARP重定向。打開D的IP轉(zhuǎn)發(fā)功能，A發(fā)送過來的數(shù)據(jù)包，轉(zhuǎn)發(fā)給C，好比一個路由器一樣。不過，假如D發(fā)送ICMP重定向的話就中斷了整個計劃?！?

　　D直接進行整個包的修改轉(zhuǎn)發(fā)，捕獲到A發(fā)送給C的數(shù)據(jù)包，全部進行修改后再轉(zhuǎn)發(fā)給C，而C接收到的數(shù)據(jù)包完全認為是從A發(fā)送來的。不過，C發(fā)送的數(shù)據(jù)包又直接傳遞給A，倘若再次進行對C的ARP欺騙?，F(xiàn)在D就完全成為A與C的中間橋梁了，對于A和C之間的通訊就可以了如指掌了。　

　　【故障現(xiàn)象】　

　　當局域網(wǎng)內(nèi)某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。　

　　切換到病毒主機上網(wǎng)后，如果用戶已經(jīng)登陸了傳奇服務(wù)器，那么病毒主機就會經(jīng)常偽造斷線的假像，那么用戶就得重新登錄傳奇服務(wù)器，這樣病毒主機就可以盜號了?！?

　　由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一次線?！?

　　【HiPER用戶快速發(fā)現(xiàn)ARP欺騙木馬】　

　　在路由器的“系統(tǒng)歷史記錄”中看到大量如下的信息（440以后的路由器軟件版本中才有此提示）：　

　　MAC Chged 10.128.103.124　

　　MAC Old 00:01:6c:36:d1:7f　

　　MAC New 00:05:5d:60:c7:18　

　　這個消息代表了用戶的MAC地址發(fā)生了變化，在ARP欺騙木馬開始運行的時候，局域網(wǎng)所有主機的MAC地址更新為病毒主機的MAC地址（即所有信息的MAC New地址都一致為病毒主機的MAC地址），同時在路由器的“用戶統(tǒng)計”中看到所有用戶的MAC地址信息都一樣。　

　　如果是在路由器的“系統(tǒng)歷史記錄”中看到大量MAC Old地址都一致，則說明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過ARP欺騙（ARP欺騙的木馬程序停止運行時，主機在路由器上恢復(fù)其真實的MAC地址）?！?

　　【在局域網(wǎng)內(nèi)查找病毒主機】　

　　在上面我們已經(jīng)知道了使用ARP欺騙木馬的主機的MAC地址，那么我們就可以使用NBTSCAN（下載地址：http://www.utt.com.cn/upload/nbtscan.rar）工具來快速查找它?！?

　　NBTSCAN可以取到PC的真實IP地址和MAC地址，如果有”傳奇木馬”在做怪，可以找到裝有木馬的PC的IP/和MAC地址。　

　　命令：“nbtscan -r 192.168.16.0/24”（搜索整個192.168.16.0/24網(wǎng)段, 即　

　　192.168.16.1-192.168.16.254）；或“nbtscan192.168.16.25-137”搜索192.168.16.25-137網(wǎng)段，即192.168.16.25-192.168.16.137。輸出結(jié)果第一列是IP地址，最后一列是MAC地址?！?

　　NBTSCAN的使用范例：　

　　假設(shè)查找一臺MAC地址為“000d870d585f”的病毒主機?！?

　　1）將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下?！?

　　2）在Windows開始—運行—打開，輸入cmd（windows98輸入“command”），在出現(xiàn)的DOS窗口中輸入：C:
btscan -r 192.168.16.1/24（這里需要根據(jù)用戶實際網(wǎng)段輸入），回車?！　　?

　　C

500){this.resized=true;this.style.width=500;}" border=0 smilieid="3">ocuments and SettingsALAN>C:
btscan -r 192.168.16.1/24　

　　Warning: -r option not supported under Windows. Running without it.　　　

　　Doing NBT name scan for addresses from 192.168.16.1/24　　　

　　IP address NetBIOS Name Server User MAC address　

　　------------------------------------------------------------------------------　

　　192.168.16.0 Sendto failed: Cannot assign requested address　

　　192.168.16.50 SERVER 00-e0-4c-4d-96-c6　

　　192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88　

　　192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78　

　　192.168.16.175 JC 00-07-95-e0-7c-d7　

　　192.168.16.223 test123 test123 00-0d-87-0d-58-5f　　　

　　3）通過查詢IP--MAC對應(yīng)表，查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”?！?

　　【解決思路】　

　　1、不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上，（rarp同樣存在欺騙的問題），理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上?！?

　　2、設(shè)置靜態(tài)的MAC-->IP對應(yīng)表，不要讓主機刷新你設(shè)定好的轉(zhuǎn)換表。　

　　3、除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應(yīng)表中?！?

　　4、使用ARP服務(wù)器。通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機器的ARP廣播。確保這臺ARP服務(wù)器不被黑。　

　　5、使用""proxy""代理IP的傳輸?！?

　　6、使用硬件屏蔽主機。設(shè)置好你的路由，確保IP地址能到達合法的路徑。（靜態(tài)配置路由ARP條目），注意，使用交換集線器和網(wǎng)橋無法阻止ARP欺騙?！?

　　7、管理員定期用響應(yīng)的IP包中獲得一個rarp請求，然后檢查ARP響應(yīng)的真實性?！?

　　8、管理員定期輪詢，檢查主機上的ARP緩存?！?

　　9、使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包丟失?！?

【HiPER用戶的解決方案】　

　　建議用戶采用雙向綁定的方法解決并且防止ARP欺騙?！?

　　1、在PC上綁定路由器的IP和MAC地址：　

　　1）首先，獲得路由器的內(nèi)網(wǎng)的MAC地址（例如HiPER網(wǎng)關(guān)地址192.168.16.254的MAC地址為0022aa0022aa局域網(wǎng)端口MAC地址>）?！?

　　2）編寫一個批處理文件rarp.bat內(nèi)容如下：　

　　@echo off　

　　arp -d　

　　arp -s 192.168.16.254 00-22-aa-00-22-aa　

　　將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可?！?

　　將這個批處理軟件拖到“windows--開始--程序--啟動”中

--------------------------------------------

本站僅提供存儲服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點擊舉報。